この記事ではネットワークセキュリティについて、基本的な用語や手順などをまとめます。
セキュリティやネットワークに興味のある方は、ぜひ最後までお付き合いください!
ネットワークセキュリティとは
ネットワークセキュリティは情報セキュリティの一種で、コンピュータネットワーク上でデータや通信を保護し、悪意あるアクセスや攻撃からネットワークを守るための対策や手段を指します。
コンピュータネットワーク上の脅威を認識し、脅威に対する対策を策定、実施していきます。ネットワーク上のセキュリティ攻撃からデータや通信を保護する事で、企業の業務継続性、企業の評判保護、顧客信頼性の確保といったメリットを享受する事が出来ます。
ネットワークセキュリティは、今や組織には欠かすことの出来ないものになりました。
この記事を通して、基本的なことを理解していきましょう!
ネットワークセキュリティの脅威
情報セキュリティにおける脅威とは、情報資産に悪い影響を与える可能性がある事象を指します。脆弱性が具体的な形となって表面化したものと考えても良いでしょう。
例えば、システムのパスワードを初期設定から変えていない事は脆弱性、それにより、システムに侵入されて情報資産が悪い影響を受けてしまう事が脅威となります。
情報セキュリティの中で、ネットワークセキュリティに含まれる脅威は、社内やシステムの外部からの攻撃と、内部からの攻撃に分類する事が出来ます。
外部からの攻撃
外部からネットワークを経由する攻撃はシステムに不正アクセスをして、情報の奪取や改ざんを行います。外部からの攻撃に対しては、ネットワークの境界にファイアウォールやIDS/IPSを設置して防御する事や、サーバーやホストのOSやアプリケーションをアップデートして脆弱性を無くして行く事が基本的な対策となります。
まずは基本的な対策が出来ているのかの確認から始めましょう。
内部からの攻撃
内部からの攻撃は、社内の人間、システムに携わる人間によって情報の奪取や改ざんが行なわれます。単純にネットワークの境界にファイアウォールを設置して対処する事が難しいため、関係者のアクセス権限を適切な状態にする事、USBメモリ等の記憶媒体を含めた、私物の端末の持ち込みを制限する等の対応が重要になります。
私物端末がどのように扱われているのか会社側で管理することが難しく、私物端末の利用はセキュリティリスクが極めて高くなってしまいます!
ネットワークセキュリティ対策の基本
ネットワークセキュリティの対策は、脅威を分析し、ネットワークセキュリティポリシーを定める事から始まります。情報セキュリティポリシーの一環として行われる事が一般的です。
その後、制定したポリシーを満たす為に技術的、物理的な対策を施し、ログの記録を行なうという流れで行います。
例えば、セキュリティポリシーとして、『USBメモリ等のリムーバブルメディアを社内のPCに接続してはならない』と制定し、対策として管理用ユーザー以外はUSBメモリの接続を行えないように設定を行い、接続を行おうとする形跡を検知した際はログを取得して監視用のサーバーに通知するような処理を行います。
また、基本的な対策として、通信内容の暗号化を行い、情報を保護する事も一般的です。特に無線ネットワークの場合は必須です。
総務省が公開している情報セキュリティポリシーの概要と目的
USBメモリは、データを勝手に持ち出されたり、ウィルスに感染しているものを接続されたり、置き忘れによる情報漏洩などの様々なリスクがあります。
ネットワークセキュリティの実施手順
ネットワークセキュリティの実施手順として、ここではセキュリティ監査とセキュリティ診断の実施手順を紹介します。
セキュリティ監査
セキュリティ監査では、ネットワークセキュリティ対策の実施状況が適切に行われているかを監査します。通常は情報セキュリティ監査の一環として社内の独立した部署か外部機関によって行われます。
その際、監査基準を最初に定めて行いますが、例えば経済産業省が公開している情報セキュリティ管理基準があります。
経済産業省が公開している情報セキュリティ監査制度の情報
情報セキュリティ監査の実施率は、企業規模が小さいほど下がる傾向にあります。
しかし、サイバー攻撃などの問題は、もはや大企業だけの問題ではありません。
セキュリティ診断
ネットワークセキュリティの分野では、ネットワークに接続している各機器の脆弱性やアクセス権が適切に管理されているかの監査を行います。
また外部の業者に依頼してセキュリティ診断を行う事で、新たな脆弱性を発見することが出来ます(ツールを用いて自己診断をする事も出来ます)。セキュリティ診断は前述の外部と内部の脅威に繋がる脆弱性を発見する為、外部と内部の両面から行います。
外部(インターネット)からのセキュリティ診断では疑似的なセキュリティ攻撃(ペネトレーションテスト)を行ないます。
内部からのセキュリティ診断は、主にネットワーク全体のセキュリティ強度を診断することを目的していて、事前に依頼者が提供したネットワークやサーバの情報を元にして、さらに詳細な診断を実施します。
総務省が公開しているセキュリティ診断の情報
セキュリティ診断を行っているという実績は、顧客からの信頼を得ることにも繋がります!
ネットワークセキュリティのトレンド
ここではネットワークセキュリティのトレンドとして、AIを活用したセキュリティ対策とIoTセキュリティの課題を紹介します。
AIを活用したセキュリティ対策
2022年に公開された生成AIのChatGPTは実際のビジネスの現場で実証の実験が進んでいますが、ネットワークセキュリティの分野でも攻撃、防御の両面での実用化が進んでいます。
セキュリティ攻撃側のAIの活用例として、例えばディープフェイクと呼ばれる、声や顔を生成する技術を、従来からのなりすましによるセキュリティ攻撃の際に利用する事が可能です。
防御側のAI活用例としては、やはり従来からのペネトレーションテストにAIを用いる事で効率良く行う事が研究されています。
このようにAIの技術により、従来からのセキュリティ攻撃と防御の手法がそれぞれ強化される状況ですので、ネットワークセキュリティに関連する技術者もAIの活用について習得が求められます。
AI技術は攻撃者にとっても、防御する側にとっても有用です。
IoTセキュリティの課題
IoT(Internet of Things)は、従来はインターネットに接続を想定していなかった組込み機器(家電製品や自動車等)をインターネットに接続して制御や管理を行う仕組みです。
脆弱性や脅威について、他のネットワークセキュリティと同様に考えていく必要がありますが、組込み機器のような、元々インターネットに接続する事を想定していない機器をネットワークに接続する為、IoT用のセキュリティ設計を新たに考えていく必要がありました。IoTが普及し始めてから10年以上が過ぎていますが、まだまだ設計面から考える必要があります。
基本的には前述のセキュリティ対策の基本通り、脅威を分析してポリシーを定めていく事になります。
クラウドサービス等で提供される事も増えてきましたが、これからもIoTは拡大していく事が想定されるので、ネットワークセキュリティに関連する技術者も意識する必要があります。
総務省が公開しているIoTセキュリティ対策として留意すべきルール
IPAが公開しているIoTセキュリティの設計の手引き
AWSが提供しているIoTソリューション
IoT機器は様々なセキュリティ課題を抱えています。
【セキュ塾】では、各種ハンズオン形式でのトレーニング実習を通じて、具体的な対策を習得できる「IoTと車のハッキングハンズオンコース | セキュ塾 (heatwavenet.co.jp)」を開講しています。
ネットワークセキュリティのベストプラクティス
ネットワークセキュリティのベストプラクティス(最適な例)として、ここではネットワークの分割、アクセス制御、暗号化を紹介します。その他、一般的な情報セキュリティのベストプラクティスと同様に、セキュリティ意識の浸透や教育、情報の共有も重要となります。
ネットワークの分割
ネットワークの分割では、ネットワークを目的に応じてIPレベルでサブネットに分割し、各ネットワーク間の通信をファイアウォールを経由するようにして制御します。
代表的なネットワークの分割として、外部ネットワーク(インターネット)、内部ネットワーク(社内ネットワーク)、DMZ(外部公開用サーバーのネットワーク)等があります。
ネットワークを分割すると、ネットワークの混雑緩和やセキュリティ管理がしやすくなるなどのメリットがあります。
アクセス制御
アクセス制御では、ネットワークへの不正アクセスを防ぐために、パスワードや多要素認証を用いて制御し、ユーザー毎に必要なアクセス権を割り当てます
アクセス制御はセキュリティ対策の基本です。
管理者に権限を渡されていない人間が、自由に機密情報に触れられる状況は、極めて情報漏洩のリスクが高い状況です。
暗号化
暗号化ではデータの盗聴を防ぐために、ネットワーク上の平文データを変換して暗号化します。変換規則の事を暗号化アルゴリズムと呼びます。
暗号化アルゴリズムでは、平文を暗号文に変換する際に使用する暗号鍵と、暗号文を平文へ復号する際に使用する復号鍵を用います。
少し前まではデータの暗号化と復号には、通信速度低下や処理速度低下という問題がありましたが、現在は速度の問題はかなり解消されてきています。
コメント